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Kleine Anfrage 

der Abgeordneten Burkhard Lischka, Michael Hartmann (Wackernheim), Brigitte 
Zypries, Petra Ernstberger, Iris Gleicke, Lars Klingbeil, Ute Kumpf, Christine 
Lambrecht, Thomas Oppermann, Gerold Reichenbach, Dr. Frank-Walter 
Steinmeier und der Fraktion der SPD 


Einsatz der Quellen-Telekommunikationsüberwachung 


Am 8. Oktober 2011 veröffentlichte der Chaos Computer Club (CCC) die Ana- 
lyse einer ihm zugespielten behördlichen Überwachungssoftware, sogenannter 
Trojaner, welche vom Landeskriminalamt Bayern auf den Laptop eines Ver- 
dächtigen aufgespielt worden war. Die Software verfügte über weitaus mehr 
Funktionen, als es der zugrunde hegende richterliche Beschluss zur Durchfüh- 
rung einer Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) vorsah. 
ln der Folge wurde bekannt, dass entsprechende Software in zahlreichen weite- 
ren Fällen eingesetzt worden war. 

Aus den Ermittlungsakten hat sich ergeben, dass die Überwachungssoftware 
nicht nur die Telekommunikation in Form von Internettelefonaten und E-Mail- 
Verkehr überwachte, sondern auch alle 30 Sekunden eine Fotografie des Bild- 
schirms, insgesamt 60 000 Screenshots angefertigt hatte. Bildschirminhalte 
sind jedoch nicht Teil der Telekommunikation. Hinzu kam, dass die Software in 
der Lage war, weitere Module nachzuladen. Diese sogenannte Nachladefunk- 
tion ermöglicht es, die Nutzung des Zielrechners umfassend zu überwachen 
und den Rechner umfänglich zu manipulieren. So ist es beispielsweise möglich, 
den Raum, in dem sich der Zielrechner befindet, mit einer eingebauten Kamera 
oder einem eingebauten Mikrofon zu überwachen, sämtliche auf dem Rechner 
gespeicherten Daten zu lesen und zu verändern sowie beliebige Programme auf 
dem Rechner auszuftihren. Nach Auskunft des CCC war die Nachladefunktion 
funktionsfähig, ihr tatsächlicher Einsatz jedoch nicht beweisbar. 

Das Programm enthielt nach Einschätzung von Fachleuten massive Sicher- 
heitslücken. Durch eine unprofessionelle Verschlüsselung war das Programm 
dem Zugriff unautorisierter Dritter ausgesetzt. Der CCC konnte sein Trojaner- 
programm in nur wenigen Stunden anpassen mit der Folge, dass er die Software 
hätte steuern und Funktionen auf den Zielrechner hätte nachladen können. 
Hinzu kommt, dass die ausgespähten Daten zur Tarnung der Steuerzentrale sei- 
tens der Behörde über einen in den USA befindlichen Server umgeleitet wur- 
den. Es ist nicht auszuschließen, dass amerikanische Dienste Zugriff auf die 
Daten genommen haben. 

Entwickelt wurde das Überwachungsprogramm von der hessischen Firma 
DigiTask GmbH, deren Gründer vom Landgericht Köln wegen Bestechung von 
Beamten des Zollkriminalamtes Köln zu 21 Monaten Freiheitsstrafe auf Be- 
währung und 1,5 Mio. Euro Geldstrafe verurteilt wurde. Warum ausgerechnet 
dieses Unternehmen mit der Entwicklung und Lieferung der Software beauf- 
tragt wurde, ist bis heute nicht geklärt. 
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ln ihrer Antwort auf die Kleine Anfrage „Staatstrojaner“ (Bundestagsdruck- 
sache 17/7760) verneint die Bundesregierung den Einsatz der vom CCC analy- 
sierten Software durch Bundesbehörden, ln Ermangelung des Quellcodes habe 
sie auch keine Kenntnis von den Funktionsmöglichkeiten der von Bundesbe- 
hörden eingesetzten Software gehabt. Vor Anwendung der Software seien je- 
doch in jedem Einzelfall Anwendungstests durchgeführt worden. 

Die Bundesministerin der Justiz Sabine Leutheusser-Schnarrenberger und wei- 
tere Mitglieder der Bundesregierung haben angesichts der vielfältigen Vor- 
würfe totale Transparenz und Aufklärung versprochen — bisher jedoch ohne Er- 
gebnis. Noch immer ist nicht abschließend geklärt, welche Behörden Trojaner 
eingesetzt haben und mit welchem Funktionsumfang. 

Auf die Frage, ob die Quellen-TKÜ derzeit von Bundesbehörden angewendet 
wird, oder ob es bis zur Entwicklung einer eigenen Software ein Moratorium 
gebe, antwortete der Parlamentarische Staatssekretär bei der Bundesministerin 
der Justiz in der Fragestunde am 13. Juni 2012, dass er nur die sichere Erkennt- 
nis habe, dass die von der DigiTask GmbFI hergestellte Software in Bayern 
nicht mehr eingesetzt werde. Schriftlich reichte er nach, dass „der zum Ge- 
schäftsbereich des Bundesministeriums der Justiz (BMJ) gehörende General- 
bundesanwalt die Quellen-TKÜ derzeit weder anwendet noch diese veran- 
lasst“. Gründe für die Nichtanwendung durch den Generalbundesanwalt naimte 
er nicht. Unbeantwortet blieb auch die Frage, welche Bundesbehörden die Soft- 
ware einsetzen oder Quellen-TKÜ durchführen. 

Derzeit findet der Einsatz von Überwachungssoftware zum Zwecke der Straf- 
verfolgung auf Grundlage der §§ 100a ff. der Strafprozessordnung (StPO) statt. 
Bei der Schaffung der §§ 100a ff. StPO hatte der Gesetzgeber jedoch die netz- 
basierte Überwachung der herkömmlichen Telekommunikation vor Augen und 
nicht die wesentlich komplexere Überwachung durch den heimlichen Zugriff 
auf einen Rechner. § 1 00a StPO berücksichtigt die durch den Einsatz von Über- 
wachungssoftware bewirkte Beeinträchtigung des Grundrechts auf Gewährleis- 
tung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht. 
Insbesondere enthält diese Vorschrift keine Schutzvorkehrungen, um rechtlich 
und technisch sicherzustellen, dass die Überwachung sich auf die laufende 
Telekommunikation beschränkt und dass Manipulationen durch Dritte aus- 
geschlossen sind. Das Bundesverfassungsgericht (BVerfG) hat in seiner Ent- 
scheidung zur Onlinedurchsuchung vom 27. Februar 2008 (BVerfGE 1 BvR 
370/07 u. a.) die entsprechenden Anforderungen formuliert. Dazu zählen in ers- 
ter Linie der möglichst weitgehende Schutz der Integrität des Zielsystems und 
die Beschränkung auf die laufende Telekommunikation. Das BVerfG hat zu- 
dem technische Sicherungen gegen Missbrauch angemahnt und ausgeführt, 
dass eine Ermächtigung zum heimlichen Zugriff auf informationstechnische 
Systeme mit geeigneten gesetzlichen Vorkehrungen verbunden werden muss, 
um die Interessen des Betroffenen verfahrensrechtlich abzusichem (BVerfGE, 
a. a. O., Rn. 257). Aufgrund der durch heimliche Ermittlungsmaßnahmen be- 
wirkten schwerwiegenden Grundrechtseingriffe ist es geboten, den Betroffenen 
mittels einer vorbeugenden Kontrolle durch eine unabhängige Instanz zu schüt- 
zen (BVerfGE, a. a. O., Rn. 259). 

Auf die Frage, ob die Bundesregierung beabsichtige, den Entwurf für eine ei- 
gene Rechtsgrundlage für die Quellen-TKÜ vorzulegen, antwortete der Parla- 
mentarische Staatssekretär bei der Bundesministerin der Justiz, dass die Ge- 
richte § 100a StPO im Bereich der Strafverfolgung auch für die Quellen-TKÜ 
anwenden. Hierzu gäbe es mittlerweile eine verfestigte Rechtsprechung. Die 
Erforderlichkeit einer zusätzlichen Regelung würde derzeit geprüft. 

Trotz eindeutiger Formulierungen in der Entscheidung des BVerfG und ge- 
wichtiger Gegenstimmen in Rechtsliteratur und Wissenschaft beruft sich die 
Bundesregierung allein auf die „einhellige Praxis der Gerichte“, die § 100a 
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StPO als Rechtsgrundlage heranziehen. Während die Bundesministerin der 

Justiz die Norm noch zu Jahresbeginn als nicht hinreichende Rechtsgrundlage 

bezeichnet hat, zieht sie sich jetzt auf den Standpunkt zurück, die Erforderlich- 
keit einer speziellen Rechtsgrundlage sei Gegenstand intensiver Prüfung. 

Wir fragen die Bundesregierung: 

1 . Wird die Quellen-TKÜ derzeit im Bereich des Bundes durchgeführt, und 
wenn ja, durch welche Bundesbehörden, und in welchem Umfang? 

2. Wird nach Kenntnis der Bundesregierang die Quellen-TKÜ derzeit von 
Landesbehörden durchgeführt, und wenn ja, durch welche Landesbehör- 
den, und in welchem Umfang? 

3. Welche Überwachungssoftware, in welcher Version und von welchem Her- 
steller kommt im Bereich des Bundes und nach Kenntnis der Bundesregie- 
rung der Länder jeweils zum Einsatz? 

4. ln wie vielen Fällen haben welche Bundes- und nach Kenntnis der Bundes- 
regierung Landesbehörden im Zeitraum von 2008 bis 2011 Quellen-TKÜ 
durchgeführt (bitte gesondert nach Jahr und Behörde)? 

5. Haben Behörden rechtliche und/oder technische Bedenken gegen den Ein- 
satz von Softwareprodukten (Trojaner, etc.) zur Quellen-TKÜ und der On- 
linedurchsuchung geltend gemacht, und wenn ja, mit welcher Begründung? 

6. Wurde die eingesetzte Software daraufhin geprüft, ob die Vorgaben des 
BVerfG für die Quellen-TKÜ technisch eingehalten werden? 

Liegt den jeweiligen Ermittlungsbehörden der Quellcode der eingesetzten 
Software vor? 

7. Kann die Bundesregierung ihre nach der Veröffentlichung des CCC im Ok- 
tober 2011 vertretene Auffassung bestätigen, dass bis zur Entwicklung ei- 
ner eigenen Software keine Quellen-TKÜ im Bereich der Bundesbehörden 
eingesetzt wird? 

8. Gab oder gibt es Überlegungen, das Bundesamt für Sicherheit in der Infor- 
mationstechnik (BSI) mit der Entwicklung einer Quellen-TKÜ-Software 
zu betrauen? 

9. Wurde außer der umstrittenen Software der DigiTask GmbH weitere Soft- 
ware für die Quellen-TKÜ genutzt, und wenn ja, von welchen Anbietern? 

Haben diese Anbieter den Quellcode ofifengelegt? 

10. Wird das Zollkriminalamt weiter von der Firma DigiTask GmbH mit Über- 
wachungssoftware beliefert, obwohl die Untersuchung der DigiTask GmbH- 
Software durch den CCC gravierende Mängel zutage brachte? 

11. Wurde auch eine Software der Firma ERA IT Solutions AG genutzt, und 
wenn ja, von wem, und in welchem Umfang? 

12. Hat die Firma ERA IT Solutions AG den Quellcode offengelegt? 

13. Wurde die Software der Firma ERA IT Solutions AG überprüft, und wenn 
ja, mit welchem Ergebnis? 

14. Wurde Quellen-TKÜ-Software auf einem im Ausland befindlichen Rech- 
ner genutzt? 

Wurde gegebenenfalls die Software bereits im Ausland aufgespielt, oder 
wurde der infizierte Rechner später ins Ausland verbracht? 

Wurden gegebenenfalls die Behörden am ausländischen Standort des 
Rechners in die Überwachungsmaßnahmen einbezogen? 
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15. a) Auf wessen Veranlassung wendet der Generalbundesanwalt beim Bun- 

desgerichtshof die Quellen-TKÜ derzeit nicht an bzw. veranlasst diese 
nicht? 

b) Aus welchem Grund wendet der Generalbundesanwalt beim Bundesge- 
richtshof die Quellen-TKÜ derzeit nicht an? 

c) Hat das BMJ dieses Vorgehen gebilligt? 

d) Wie bewertet des BMJ die Entscheidung des Generalbundesanwalts 
beim Bundesgerichtshof? 

16. Zu welchem Ergebnis kommt das dem Generalbundesanwalt beim Bundes- 
gerichtshof vorliegende Gutachten zur Rechtmäßigkeit der Quellen-TKÜ? 

17. Wer hat das Gutachten erstellt, und in wessen Auftrag? 

18. Wie bewertet die Bundesregierung das Ergebnis des Gutachtens? 

19. Warm wird die Bundesregierung den Deutschen Bundestag über die Ergeb- 
nisse dieses Gutachtens unterrichten? 

20. Was passiert in den Fällen, in denen bereits Ermittlungen laufen und eine 
Quellen-TKÜ angeordnet ist, wenn die Ermittlungen vom Generalbundes- 
anwalt beim Bundesgerichtshof übernommen werden? 

21. Kaim die Bundesregierung ausschließen, dass Ermittlungsverfahren nicht 
an den Generalbundesanwalt beim Bundesgerichtshof als ermittlungsfüh- 
rende Staatsanwaltschaft übertragen werden, aus Sorge, die Quellen-TKÜ 
als Ermittlungsinstrument nicht nutzen zu können? 

a) Wenn ja, wie begründet die Bundesregiemng diese Einschätzung? 

b) Wenn nein, was wird die Bundesregierang veranlassen? 

22. Teilt die Bundesregierung die Ansicht des Innnenpolitischen Sprechers der 
CDU/CSU-Bundestagsfraktion, Dr. Hans-Peter Ühl, der zufolge die Ent- 
wicklung einer Software zur Quellen-TKÜ durch das Bundeskriminalamt 
(BKA) voraussichtlich noch Monate, vielleicht sogar Jahre dauern oder 
möglicherweise gar nicht realisiert werden kann? 

23. Worauf bezogen sich die in Bund und nach Kenntnis der Bundesregierung 
in den Ländern durchgeführten Maßnahmen zur Quellen-TKÜ (bitte auf- 
schlüsseln): 

• Intemettelefonie (Voice over IP, z.B. Skype), 

• Internetchat, 

• E-Mail über HTTP(S)/Webmail, 

• Überwachung inhaltsverschlüsselter E-Mail-Kommunikation (S/MIME 
oder PGP), 

• Überwachung transportbasierter E-Mail-Kommunikation (IMAPS, 
POPS, SMTP mit TSE), 

• Onlinebanking, 

• andere, und wenn j a, welche? 

24. Kaim die Bundesregierung ausschließen, dass aufgespielte Trojaner zwar 
„abgeschaltet“, jedoch nicht vom System entfernt wurden? 

25. Weim nein, wie viele Trojaner wurden „abgeschaltet“, ohne vom System 
entfernt worden zu sein? 

26. Erfolgte die Deinstallation der Überwachungssoftware durch die Ermitt- 
lungsbehörden, und war sie jeweils erfolgreich? 


Deutscher Bundestag - 17. Wahlperiode 


-5- 


Drucksache 17/11087 


27. Wurden die Betroffenen nach Beendigung der Quellen-TKÜ über den Ein- 
griff informiert? 

28. Warum hat die hessische Firma DigiTask GmbFI den Zuschlag für die Ent- 
wicklung der Überwachungssoftware bekommen? 

Gab es weitere Bewerber, und wenn ja, welche? 

29. Hat sich die Bundesregierung um die Offenlegung des Quellcodes bemüht, 
und wenn ja, in welcher Form, und mit welchem Ergebnis? 

Wenn nein, warum nicht? 

30. Hat die Bundesregierung jemals Verhandlungen zur Änderung des Vertrags 
geführt? 

Wenn nein, warum nicht? 

Wenn ja, mit welchem Ergebnis? 

31. Wie bewertet die Bundesregierung die Tatsache, dass die Firma DigiTask 
GmbH den Zugang zum Quellcode mit Hinweis auf vertragliche Abreden 
verweigert, die aus Sicht des Bundesbeauftragten für den Datenschutz und 
die Informationsfreiheit (BfDI) nicht akzeptabel sind? 

32. Wie soll der BfDI seine gesetzliche Aufgabe, also die datenschutzrechtli- 
che Beratung und Kontrolle der Bundesbehörden, ohne Kenntnis des 
Quellcodes erfüllen? 

33. Teilt die Bundesregierung die Auffassung des BfDI, dass § 9 des Bundes- 
datenschutzgesetzes (BDSG) in verfassungskonformer Auslegung die Do- 
kumentation des Quellcodes bei Maßnahmen der Quellen-TKÜ fordert? 

34. Warum haben die Bundesbehörden angesichts der hohen Eingriffsintensität 
nicht von Anfang an auf die Offenlegung des Quellcodes bestanden? 

35. Teilt die Bundesregierung die Auffassung, dass - um unzulässige Funktio- 
nalitäten zuverlässig ausschließen zu können — die Einsichtnahme in den 
Quellcode unerlässlich ist? 

36. Warum haben das BKA und nach Kenntnis der Bundesregierung die Lan- 
deskriminalämter (LKAs) nicht auf der Vereinbarung eines vertraglichen 
Rechts auf Einsichtnahme in den Quellcode bestanden, das die Kontrolle 
durch die erhebende und speichernde Stelle und die des BfDI und der je- 
weiligen Landesbeauftragten für den Datenschutz ermöglicht hätte? 

37. Wer ist an der Erstellung der Leistungsbeschreibung für die Ausgestaltung 
einer künftigen Überwachungssoftware durch das Kompetenzzentrum In- 
formationstechnische Überwachung (CG ITÜ) beteiligt? 

38. Wer ist an der Entwicklung der Software für die Quellen-TKÜ beteiligt? 

39. Welche Funktionen soll die zu erstellende Software haben (genaue technische 
Vorgaben für die zu überwachende Kommunikation, Nachladefunktion, Doku- 
mentation, Löschungsmöglichkeiten für kernbereichsrelevante Inhalte, etc.)? 

40. Ist es aus Sicht der Bundesregierung verfassungsrechtlich zulässig, dass 
der vom CCC analysierte Trojaner nicht nur das Auslesen, sondern auch 
das Einspielen von Daten auf das Zielsystem ermöglichte? 

41 . Durch welche technischen und rechtlichen Vorkehrungen will die Bundesre- 
gierung sicherstellen, dass sich die Überwachung ausschließlich auf Daten 
aus einem laufenden Telekommunikationsvorgang beschränkt, und inwie- 
weit kann dies angesichts der Nachladefunktion gewährleistet werden? 

42. Wie soll sichergestellt werden, dass nur die von der richterlichen Anord- 
nung umfassten Zielrechner infiltriert werden? 
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43. Berechtigt die Rechtsgrundlage für die Quellen-TKÜ nach Ans icht der Bun- 
desregierung zum Betreten der Wohnung, in der sich der Zielrechner befindet? 

44. Ist das Auslesen von Softwarelisten im Sinne einer effektiven Strafverfol- 
gung unumgänglich? 

45. Wie lässt sich die Quellen-TKÜ von der Onlinedurchsuchung abgrenzen, 
wenn man die Notwendigkeit der Nachladefunktion unterstellt? 

46. Für welche konkreten Fälle ist eine Quellen-TKÜ unerlässlich? 

47. Welche grundrechtsschonenderen Alternativen zum Einsatz von Über- 
wachungssoftware, etwa das Abhören von Intemettelefonie über Schnitt- 
stellen, hat die Bundesregierung geprüft, und mit welchem Ergebnis? 

48. Mit welchen Anbietern, beispielsweise von Internettelefonie oder auch 
Clouddiensten, hat die Bundesregierung diesbezüglich Gespräche geführt, 
und mit welchem Ergebnis (bitte aufschlüsseln)? 

49. Hat die Bundesregierung geprüft, ob die weit verbreitete Voice-over-lP- 
Software „Skype“ die technische Möglichkeit bietet, Gespräche auf Anfor- 
derung von Sicherheitsbehörden mitzuschneiden (vgl. http://ijure.org/wp/ 
archives/808)? 

50. Ist die Bundesregierung der Auffassung, dass es sich bei § 100a StPO um 
eine verfassungsgemäße Rechtsgrundlage für die Quellen-TKÜ handelt? 

Wie begründet die Bundesregierung ihre Position? 

51. Weim die Bundesregierung § 100a StPO als verfassungsgemäße Rechts- 
grundlage für die Quellen-TKÜ betrachtet, warum duldet die Bundesminis- 
terin der Justiz, dass der Generalbundesanwalt beim Bundesgerichtshof die 
Ermittlungsmaßnahme zur Aufklärung schwerer Straftaten unterlässt? 

52. Falls die Bundesregierung eine neue Rechtsgrundlage in der StPO nicht für 
erforderlich hält, warum wurde das Gesetz über das Bundeskriminalamt 
und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeili- 
chen Angelegenheiten (BKAG) um eine spezifische Ermächtigungsgrund- 
lage für die Quellen-TKÜ ergänzt (§ 201 Absatz 2 BKAG), obwohl das Ge- 
setz bereits eine Parallelnorm zu § 100a StPO für klassische Telekommuni- 
kationsüberwachung enthielt und auch heute noch enthält (vgl. § 201 Ab- 
satz 1 BKAG)? 

53. Teilt die Bundesregierung die Einschätzung des Bayerischen Landesbeauf- 
tragten für den Datenschutz, dem zufolge die Maßnahmen zum Abhören der 
Intemettelefonie in einem „tiefdunklen Graubereich“ erfolgt sind sowie dessen 
Forderung nach entsprechenden „Trojaner-Gesetzen“ für Bund und Länder, 
um den Einsatz der Überwachungssoftware für die Quellen-TKÜ zu regeln? 

54. Teilt die Bundesregierang die Auffassung, dass eine verfassungsgemäße 
Rechtsgrundlage für die Quellen-TKÜ sowohl deren hohe Eingriffsintensi- 
tät als auch die technischen Besonderheiten berücksichtigen sowie die 
Modalitäten des Aufspielens der Software und Benachrichtigungspflichten 
regeln muss? 

55. Wie will die Bundesregierung die verfassungsgerichtliche Forderung ge- 
währleisten, dass sich die Überwachung im Rahmen einer Quellen-TKÜ 
ausschließlich auf Daten aus einem laufenden Telekommunikationsvor- 
gang erstrecken darf? 


Berlin, den 17. Oktober 2012 


Dr. Frank-Walter Steinmeier und Fraktion 
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